В ходе не относящегося к Platinum расследования эксперты обнаружили бэкдор, который, по их мнению, связан со вторым этапом кампании группировки. Бэкдор представляет собой DLL-библиотеку, работающую как WinSock NSP для сохранения присутствия на системе. Основная задача вредоноса - получить данные о системе. Он способен загружать файлы, запускать скрипт PowerShell, а также скрывать коммуникации с управляющим сервером, используя стеганографию.
Для установки бэкдора используется специальный дроппер. Вредоносная программа создает папки, в которых сохраняет непосредственно бэкдор и его конфигурационный файл. Далее программа запускает бэкдор, обеспечивает персистентность на системе и самоуничтожается.
После установки бэкдор подключается к управляющему серверу и загружает HTML страницу, содержащую зашифрованные команды, а также ключ шифрования. Встроенные данные закодированы с использованием двух техник стеганографии и помещены в тег <--1234567890>.
«Первая техника основана на принципе, что HTML не обращает внимание на порядок атрибутов в тегах […] Бэкдор декодирует строку за строкой и сохраняет ключ шифрования, который также закодирован, но уже с помощью другой техники стеганографии», - пояснили исследователи.
Бэкдор поддерживает команды на загрузку, выгрузку и исполнение файлов, может обрабатывать запросы на списки процессов и папок, обновлять и деинсталлировать себя, а также изменять свой конфигурационный файл.
Кроме того, исследователи обнаружили исполняемый файл для создания конфигурационных и командных файлов для бэкдоров (поддерживает конфигурацию более 150 опций), а также P2P бэкдор, обладающий теми же характеристиками, что и вышеописанные угрозы, но способный взаимодействовать с другими зараженными устройствами и объединять их в сеть.
Судя по находкам, группировка Platinum все еще активна и продолжает совершенствовать свой инструментарий, заключили специалисты.